Ricercatori dell’University of Erlangen hanno dimostrato come recuperare dati confidenziali da dispositivi Android sfruttando… un frigorifero. La versione 4.0 del sistema operativo Android prevede funzionalità per la cifratura dei dati che dovrebbero in teoria mettere al sicuro le informazioni degli utenti. Gli smartphone e i dispositivi sui quali è attivata la cifratura sono generalmente un incubo per chi si occupa di informatica forense o per le forze dell’ordine, poiché il più delle volte rendono necessario il ricorso a (lente) tecniche di forza bruta per l’accesso ai dati. FROST è l’acronimo di forensic recovery of scrambled telephones ed è un tool pensato specificatamente per accedere alla chiave di cifratura memorizzata nella RAM degli smartphone Android. A detta degli sviluppatori il tool è stato utilizzato con successo sui dispositivi Galaxy Nexus di Samsung e ha reso possibile l’accesso a informazioni sensibili quali: contatti, siti web visitati e foto, anche sui dispositivi con il bootloader bloccato (un sistema che impedisce l’installazione di altri sistemi operativi).
Esistono vari e costosi tool che si occupano di decifrare dati e dischi ma ciò rende particolare FROST è la procedura necessaria. Il primo passaggio, infatti, prevede di lasciare il dispositivo accesso a raffreddare nel freezer per un’ora -15 gradi: questo migliorerebbe le possibilità di attacco, poiché, stando a quanto riportano gli autori del tool, il contenuto della RAM si volatizza meno in fretta rispetto a quanto avviene a temperature più alte. Dopo una serie di passaggi (illustrati qui) che prevedono lo scollegamento e il collegamento della batteria a gran velocità, il dispositivo è collegato (via USB) a un PC con Linux, è flashato e avviato con FROST ed è infine possibile recuperare la chiave FDE.
Il metodo d’attacco usato ricorda un po’ quello reso noto qualche anno addietro dalla Princeton University: benché sia opinione comune che, una volta spento il computer, la RAM non conserva i dati presenti in memoria, i ricercatori di quest’ultima università hanno scoperto che se un computer viene riacceso in un tempo breve (da pochi secondi a un minuto) è ancora possibile leggere molti valori presenti nella memoria volatile. All’epoca fu dimostrato che per recuperare molti dati, bastava semplicemente fare il boot da un disco esterno che includeva software in grado di esaminare e memorizzare il contenuto dei moduli di memoria. Gli autori della ricerca hanno all’epoca spiegato che alcuni computer cancellano il contenuto della memoria RAM in fase di avvio, ma che anche questa misura può essere vanificata raffreddando i chip di memoria e installandoli in un altro computer meno “zelante”. Se i moduli di memoria sono raffreddati a dovere, pare sia possibile recuperare il 99,99% dei dati presenti nella memoria volatile, anche dopo 10 minuti (refrigerando i moduli a -50 gradi Celsius).
[A cura di Mauro Notarianni]
